Wireguard Problem ..

  • Hi,

    habe seit heute Probleme mit meinem Wireguard VPN. Der VPN dient als Brücke in das lokal Netz des Server und dort dann per SSH weiter.

    Habe jetzt alles schon des öfteren neu installiert und komischerweise läuft es dann bis zu einem geiwssen Punkt .. und ab dann geht zb das Pingen von Laptop zu Server nicht mehr ..

    So sieht meine wg0.conf aus:

    Code
    [Interface]
    Address = 10.10.10.1/24
    PrivateKey = xxx
    ListenPort = 51820
    
    [Peer]
    PublicKey = xxx
    PresharedKey = xxx
    AllowedIPs = 10.10.10.2/32

    So zb meine client.conf ->

    Und so die EInträge für iptables Kram:

    Weiss jemand Rat? Brauche unbedingt dieses Setup .. sonst schlaf ich nachts nicht mehr ruhig ..

    Liebe Grüsse

  • Go to Best Answer
  • Geht der ganze Tunnel nicht mehr oder nur einzelne Dinge (Pingen z. B.)?

    Soweit ich das beurteilen kann geht der Tunnel .. aber zb ein Ping von 10.10.10.2 -> 10.10.10.1 = NULL

    Will ich aber zb per ssh 10.10.10.1 dann gehts es MANCHMAL .. aber dann wieder nicht .. ich bekomme zb auf meinem Handy die NAchricht das ein Login per SSH stattfindet aber bei mir am Terminal selber tut sich kaum was ..

    Nachtrag: Nun geht auch kein Internet mehr mit aktiver VPN Verbindung .. sehr merkwürdig ..

  • Die IPs sind in deinem Netzwerk nur einmal vergeben? Was sagt denn das Ping-Terminal, wenn es "nicht mehr geht"?

    Ich sag’s dir wie es ist: Hätte ich mehr Infos … glaube mir ich würde sie auch geben .. aber es gibt nichts was da stehen könnte .. was mich halt wundert ist diese Geschichte mit dem ssh ..

    Sobald ich im VPN bin mit dem Laptop kann ich zwar keine Webseiten mehr aufrufen erreiche aber aber die Server IP den SSH .. mit der lokalen IP kommen das oben beschriebene. Ein Ping geht auch nicht .. tatsächlich geh aber vom Server der Ping zu allen Adressen auch dem Laptop ..

    Ping vom Client -> Server .. tote hose .. auch null internet BIS AUF SSH mit der EXTERNEN ip vom server .. -.-

    Ping vom Server zum Client .. GEHT! Der Erste Ping Test extra ohne verbunden Clienten ..

  • Gibt es die Hosts .0 und .3 überhaupt? Weil wenn es die nicht gibt, kann man die auch nicht anpingen.

    Sobald ich im VPN bin mit dem Laptop kann ich zwar keine Webseiten mehr aufrufen erreiche aber aber die Server IP den SSH

    Das klingt mir nach DNS. Was sagt ein nslookup google.com

    Edit2: hast du ip-forwarding auf dem Server aktiviert?

    Edited 2 times, last by martin (June 2, 2024 at 11:30 PM).

  • Nein .0 und .3 gibt es nicht da war nur um abzuklopfen das ich auch nicht durch die falsche Tür möchte. Es gibt nur Host .1 als Server und dann .2 als Client1 etc etc

    Als dns sind Google Server eingestellt und up forwarding ist aktiviert. Es ging ja alles mal 😜 nslookup muss ich morgen mache habe für den Moment aufgeben.

    Auszug aus den Logs auf dem Smarphone:

    Display Spoiler

    2024-06-03 00:25:55.394455: [NET] Routine: receive incoming v6 - started
    2024-06-03 00:26:00.095087: [APP] Status update notification timeout for tunnel 'evarioo'. Tunnel status is now 'connected'.
    2024-06-03 00:26:06.200948: [NET] peer(Oz7m…uCV0) - Receiving keepalive packet

  • Laut den logs bist du ja verbunden. Spielt da noch eine andere Firewall mit rein? UFW oder sowas? Wo hast du denn die IPTABLES-Config her?


    Ich hab auch mal einige Stunden in eine Wireguard-Conf gesteckt. Inzwischen bin ich dazu übergegangen, wireguard-ui zu nutzen. Kann man bei Bedarf an und ausmachen und das erstellt alles was man braucht. Trotzdem sollten wir deinem Problem auf die Spur gehen. :)

    Edited once, last by martin (June 3, 2024 at 9:41 AM).

  • Hey,

    WireGuard UI kenne ich und was mich da stört ist das angelegt User bzw Clienten in einer extra dB gespeichert werden.

    Die Ip Tables config ist doch Standard 😜 solltest du auch eine haben.

    Firewall? Hab ich nur eine .. iptables dient in diesem Falle ja nicht als Firewall.

    Nachtrag: Ich kann den VPN noch 2x neuinstallieren und er wird jedes Mal am Anfang gehen und dann nicht mehr .. habs jetzt oft ausprobiert. Egal ob mit gui oder ohne.

    Ich bin in 30 min daheim und schalte dann mal spaßhalber meine Hardware Firewall aus bzw lasse ausschalten und dann sehe ich ja ob es daran scheitert. Aber sollte es durch das ip tables eigentlich nicht!

    Nachtrag: Durch Zufall bin ich auf die Uesache gestoßen bzw dachte eigentlich das ich diese Ursache eliminiert habe. Firewall in einem meiner Adminpanels läuft anscheinend mit ufw ..

    Nachtrag :) Anscheinend geht jetzt alles .. ich hatte natürlich nicht berücksichtigt das ich den Weitergeleiteten Traffic pro Client extra freigeben muss :( die Frage die sich mich JETZT aber erst nachdem alles geht stellt: Ist es möglich eine VPN Verbindung so zu nutzen das ich quasi trotzdem das INTERNET aus meinem Zuhause nutze? Also quasi nicht über den Server aber trotzdem die aktive Verbindung zu dem habe?

  • evarioo June 3, 2024 at 10:17 PM

    Changed the title of the thread from “WIreguard Problem ..” to “Wireguard Problem ..”.
    • New
    • Best Answer

    Adminpanels läuft anscheinend mit ufw

    Freut mich, dass du die Ursache gefunden hast - und auch ein bisschen, dass meine Intuition richtig war. ^^

    Ist es möglich eine VPN Verbindung so zu nutzen das ich quasi trotzdem das INTERNET aus meinem Zuhause nutze? Also quasi nicht über den Server aber trotzdem die aktive Verbindung zu dem habe?

    Bei AllowedIPs (am Client) gibst du an, welche IPs durch den Tunnel geleitet werden sollen.

    AllowedIPs = 0.0.0.0/0

    0.0.0.0/0 beschreibt alle IPs von 0.0.0.0 bis 255.255.255.255. Damit hast du einen full tunnel.

    Was du möchtest, ist ein split tunnel. Du gibst also nur die IP-Range an, die auch wireguard nutzt.

    AllowedIPs = 10.10.10.0/24

    Falls du IPv6 nutzt, entsprechend ::/0 oder dein Präfix für den full/split-tunnel.

  • evarioo June 4, 2024 at 11:13 AM

    Selected a post as the best answer.
  • Ich wieder 😜

    mittlerweile nervt es mich das mein ganzes Internet durch den VPN geroutet wird.

    Habe

    AllowedIPs = 10.10.10.2/32

    zwar in der wg0 config aber trotzdem habe ich beim surfen die ip vom Server. Blocke ich den Traffic in der Firewall habe ich gar kein Internet mehr im Browser etc.

    Dass zb. Verstehe ich nicht:

    Quote

    Basically, on server side you need to add your LAN CIDR to AllowedIPs = 10.8.0.2/32 for example: AllowedIPs = 10.8.0.2/32, 192.168.1.0/24

    Heißt für mich wenn ich bei Allowed IPs noch die Server lan ip eintrage ich danach kein Zugriff mehr auf das Internet durch den Server habe oder? Nimmt mein Laptop dann automatisch wieder das „normale“ Internet mit der mir vom Provider zugewiesenen ip Adresse?

  • Wenn du nur den Traffic zum Server durch das VPN willst, musst du auf Client Seite es auch entsprechend auf das VPN Netz beschränken.

    Das kann dann so aussehen zB.:

    Wobei bei den Keys natürlich die Keys reingehören und unter Endpoint die IP + Port des Servers ;) (Public IP)

    A red dragon falls from the heavens... Ah, that memory has been lost. A shame. It was a favorite of mine...

  • Hey,

    so sieht meine wg0.config auf dem Server aus:

    und so meine client.config

    Nachtrag: Ich hab’s glaube kapiert .. das allowedips isses oder? Das bindet den jeweiligen clienten ins lokale vpn Netz.

    Aber dennoch: Wie bringe ich meinen Geräten bei TROTZ vpn Verbindung das jeweilige Geräte Internet zu Nutzen?

    Ok .. hab den Fehler gefunden.

    Als Eintrag bei allowed ips darf NUR

    10.10.10.2/24

    Nachtrag: Hab das ganze nun auch mal am Laptop versucht zu ändern allerdings kann ich dann keine Seiten im Browser öffnen. Pings jedoch zb gehen auf den Server raus.

    Nachtrag 2: Langsam komme ich mir dumm vor :( also: Hab die WireGuard Client conf in Manjaro im Network Manager importiert .. Internet geht nicht mehr aber ssh zum Server .. hab dann das ganze mal gelöscht und mir wg-quick up conf probiert und siehe da die Verbindung zum ssh geht und Internet geht auch über die normale Leitung. Jetzt ist nur das Ding das ich einfach mal schauen wollte wie die Einstellungen jetzt aussehen (Neugier) und siehe da teilweise sind Einträge leer wie zb der private key .. warum geht das trotzdem? ..

    Die Frage die sich mir stellt: Wenn das nur clientseitig eingestellt wird kann es ja jeder selber aufheben indem er die config manipuliert? Und was muss ich am Server in der config einstellen? Also ich brauche die vpn Verbindung nur als Zugang zum lokalen netz des Servers. Reicht es dann einfach den weitergeleiteten Traffic zu verbieten? Weil komischerweise nutzen meine Geräte nach der Verbindung mit dem VPN das Internet des Server. Sobald ich den Traffic blockiere in der Firewall habe ich am Laptop kein Internet mehr. Weiß nicht vielleicht bin ich auch dumm oder so aber ich möchte ungern mit der öffentlichen ip meines Servers im Internet unterwegs sein. Denke das ist eine Einstellungs Geschichte am Nic adapter

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!