Hi,

habe seit heute Probleme mit meinem Wireguard VPN. Der VPN dient als Brücke in das lokal Netz des Server und dort dann per SSH weiter.

Habe jetzt alles schon des öfteren neu installiert und komischerweise läuft es dann bis zu einem geiwssen Punkt .. und ab dann geht zb das Pingen von Laptop zu Server nicht mehr ..

So sieht meine wg0.conf aus:

[Interface]
Address = 10.10.10.1/24
PrivateKey = xxx
ListenPort = 51820

[Peer]
PublicKey = xxx
PresharedKey = xxx
AllowedIPs = 10.10.10.2/32

So zb meine client.conf ->

[Interface]
Address = 10.10.10.2/24
DNS = 8.8.8.8, 8.8.4.4
PrivateKey = xxx

[Peer]
PublicKey = xxx
PresharedKey = xxxx
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = x.xxx.xx.xxx:51820
PersistentKeepalive = 25

Und so die EInträge für iptables Kram:

[Unit]
Before=network.target
[Service]
Type=oneshot
ExecStart=/usr/sbin/iptables -t nat -A POSTROUTING -s 10.10.10.0/24 ! -d 10.10.10.0/24 -j SNAT --to xxx
ExecStart=/usr/sbin/iptables -I INPUT -p udp --dport 51820 -j ACCEPT
ExecStart=/usr/sbin/iptables -I FORWARD -s 10.10.10.0/24 -j ACCEPT
ExecStart=/usr/sbin/iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
ExecStop=/usr/sbin/iptables -t nat -D POSTROUTING -s 10.10.10.0/24 ! -d 10.10.10.0/24 -j SNAT --to xxx
ExecStop=/usr/sbin/iptables -D INPUT -p udp --dport 51820 -j ACCEPT
ExecStop=/usr/sbin/iptables -D FORWARD -s 10.10.10.0/24 -j ACCEPT
ExecStop=/usr/sbin/iptables -D FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
RemainAfterExit=yes
[Install]
WantedBy=multi-user.target

Weiss jemand Rat? Brauche unbedingt dieses Setup .. sonst schlaf ich nachts nicht mehr ruhig ..

Liebe Grüsse

Zitat von martin

Geht der ganze Tunnel nicht mehr oder nur einzelne Dinge (Pingen z. B.)?

Soweit ich das beurteilen kann geht der Tunnel .. aber zb ein Ping von 10.10.10.2 -> 10.10.10.1 = NULL

Will ich aber zb per ssh 10.10.10.1 dann gehts es MANCHMAL .. aber dann wieder nicht .. ich bekomme zb auf meinem Handy die NAchricht das ein Login per SSH stattfindet aber bei mir am Terminal selber tut sich kaum was ..

Nachtrag: Nun geht auch kein Internet mehr mit aktiver VPN Verbindung .. sehr merkwürdig ..

Zitat von martin

Die IPs sind in deinem Netzwerk nur einmal vergeben? Was sagt denn das Ping-Terminal, wenn es "nicht mehr geht"?

Ich sag’s dir wie es ist: Hätte ich mehr Infos … glaube mir ich würde sie auch geben .. aber es gibt nichts was da stehen könnte .. was mich halt wundert ist diese Geschichte mit dem ssh ..

Sobald ich im VPN bin mit dem Laptop kann ich zwar keine Webseiten mehr aufrufen erreiche aber aber die Server IP den SSH .. mit der lokalen IP kommen das oben beschriebene. Ein Ping geht auch nicht .. tatsächlich geh aber vom Server der Ping zu allen Adressen auch dem Laptop ..

Ping vom Client -> Server .. tote hose .. auch null internet BIS AUF SSH mit der EXTERNEN ip vom server .. -.-

Ping vom Server zum Client .. GEHT! Der Erste Ping Test extra ohne verbunden Clienten ..

Nein .0 und .3 gibt es nicht da war nur um abzuklopfen das ich auch nicht durch die falsche Tür möchte. Es gibt nur Host .1 als Server und dann .2 als Client1 etc etc

Als dns sind Google Server eingestellt und up forwarding ist aktiviert. Es ging ja alles mal ???? nslookup muss ich morgen mache habe für den Moment aufgeben.

Auszug aus den Logs auf dem Smarphone:

Hey,

WireGuard UI kenne ich und was mich da stört ist das angelegt User bzw Clienten in einer extra dB gespeichert werden.

Die Ip Tables config ist doch Standard ???? solltest du auch eine haben.

Firewall? Hab ich nur eine .. iptables dient in diesem Falle ja nicht als Firewall.

Nachtrag: Ich kann den VPN noch 2x neuinstallieren und er wird jedes Mal am Anfang gehen und dann nicht mehr .. habs jetzt oft ausprobiert. Egal ob mit gui oder ohne.

Ich bin in 30 min daheim und schalte dann mal spaßhalber meine Hardware Firewall aus bzw lasse ausschalten und dann sehe ich ja ob es daran scheitert. Aber sollte es durch das ip tables eigentlich nicht!

Nachtrag: Durch Zufall bin ich auf die Uesache gestoßen bzw dachte eigentlich das ich diese Ursache eliminiert habe. Firewall in einem meiner Adminpanels läuft anscheinend mit ufw ..

Nachtrag Anscheinend geht jetzt alles .. ich hatte natürlich nicht berücksichtigt das ich den Weitergeleiteten Traffic pro Client extra freigeben muss die Frage die sich mich JETZT aber erst nachdem alles geht stellt: Ist es möglich eine VPN Verbindung so zu nutzen das ich quasi trotzdem das INTERNET aus meinem Zuhause nutze? Also quasi nicht über den Server aber trotzdem die aktive Verbindung zu dem habe?

Ernsthaft? Nur da unten die ip range rein .. puh hab jetzt einfach als Notlösung erstmal den Traffic geblockt.. will den von ja nur zum arbeiten haben. Ja aber wenn tut was es tut dann wäre das supi.

Danke dir

Ich wieder ????

mittlerweile nervt es mich das mein ganzes Internet durch den VPN geroutet wird.

Habe

AllowedIPs = 10.10.10.2/32

zwar in der wg0 config aber trotzdem habe ich beim surfen die ip vom Server. Blocke ich den Traffic in der Firewall habe ich gar kein Internet mehr im Browser etc.

Dass zb. Verstehe ich nicht:

Zitat

Basically, on server side you need to add your LAN CIDR to AllowedIPs = 10.8.0.2/32 for example: AllowedIPs = 10.8.0.2/32, 192.168.1.0/24

Heißt für mich wenn ich bei Allowed IPs noch die Server lan ip eintrage ich danach kein Zugriff mehr auf das Internet durch den Server habe oder? Nimmt mein Laptop dann automatisch wieder das „normale“ Internet mit der mir vom Provider zugewiesenen ip Adresse?

Hey,

so sieht meine wg0.config auf dem Server aus:

[Interface]
Address = 10.10.10.1/24
PrivateKey = ***
ListenPort = 51820

# BEGIN_PEER evarioo
[Peer]
PublicKey = ***
PresharedKey = ***
AllowedIPs = 10.10.10.2/32
# END_PEER evarioo

und so meine client.config

[Interface]
PrivateKey = ***
Address = 10.10.10.2/24
DNS = 8.8.8.8, 8.8.4.4

[Peer]
PublicKey = ***
PresharedKey = ***
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = ***:51820
PersistentKeepalive = 25

Nachtrag: Ich hab’s glaube kapiert .. das allowedips isses oder? Das bindet den jeweiligen clienten ins lokale vpn Netz.

Aber dennoch: Wie bringe ich meinen Geräten bei TROTZ vpn Verbindung das jeweilige Geräte Internet zu Nutzen?

Ok .. hab den Fehler gefunden.

Als Eintrag bei allowed ips darf NUR

10.10.10.2/24

Nachtrag: Hab das ganze nun auch mal am Laptop versucht zu ändern allerdings kann ich dann keine Seiten im Browser öffnen. Pings jedoch zb gehen auf den Server raus.

Nachtrag 2: Langsam komme ich mir dumm vor also: Hab die WireGuard Client conf in Manjaro im Network Manager importiert .. Internet geht nicht mehr aber ssh zum Server .. hab dann das ganze mal gelöscht und mir wg-quick up conf probiert und siehe da die Verbindung zum ssh geht und Internet geht auch über die normale Leitung. Jetzt ist nur das Ding das ich einfach mal schauen wollte wie die Einstellungen jetzt aussehen (Neugier) und siehe da teilweise sind Einträge leer wie zb der private key .. warum geht das trotzdem? ..

Die Frage die sich mir stellt: Wenn das nur clientseitig eingestellt wird kann es ja jeder selber aufheben indem er die config manipuliert? Und was muss ich am Server in der config einstellen? Also ich brauche die vpn Verbindung nur als Zugang zum lokalen netz des Servers. Reicht es dann einfach den weitergeleiteten Traffic zu verbieten? Weil komischerweise nutzen meine Geräte nach der Verbindung mit dem VPN das Internet des Server. Sobald ich den Traffic blockiere in der Firewall habe ich am Laptop kein Internet mehr. Weiß nicht vielleicht bin ich auch dumm oder so aber ich möchte ungern mit der öffentlichen ip meines Servers im Internet unterwegs sein. Denke das ist eine Einstellungs Geschichte am Nic adapter