Du bist nicht angemeldet.

Eine Antwort schreiben

Schreibe deinen Beitrag und versende ihn
Beitragsoptionen
Deine Antwort

Zurück

Themen-Übersicht (Neuester Beitrag zuerst)

303acid
04.08.2020 21:04:25

N Abend...

Habe die Problematik endlich lösen können.
Das Problem war: ich konnte alle Host's hinter dem WG-Server nicht erreichen.
Der Grund: ich habe folgendes aus dem Arch-Wiki fehlinterpretiert und in der Serverconfig weggelassen:

# if the server is behind a router and receives traffic via NAT, these iptables rules are not needed
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

Genau genommen braucht es nur das MASQUERADE - WENN - die Default-Policy der FORWARD-Chain ACCEPPT ist.

Jetzt geht alles ;-) man erreicht bequem alles so als wäre man vor Ort.
WIreguard scheint toll zu sein - kann ich nur empfehlen.

Danke an alle Helfer
[Gelöst]

frostschutz
03.08.2020 23:38:11

Logischerweise erreichen sich jetzt alle innerhalb des 10er WG-Netzes

Das ist eigentlich die halbe Miete.

aber die LAN IP bzw. die Shares der VM erreiche ich trozdem nicht

Die LAN IP klar nicht. Das bleibt bei der WG IP. Es sei denn du setzt eben doch Routen auf beiden Seiten dafür.

Die Shares müssen dann für die WG IP aktiviert werden. Und die Firewall so eingestellt daß diese es nicht blockt. Ob und wie das bei Windows geht, habe ich nicht ausprobiert. Wenn es aus irgendeinem Grund bei Windows nicht möglich sein sollte, das Wireguard-Interface für derartige Freigaben zu verwenden, dann habe ich dich mit der Idee wohl in die Wüste geschickt. Aber komisch wärs schon, zumindest unter Linux bietet Wireguard ja ein vollwertiges Netzwerkinterface das so ziemlich fast alle Möglichkeiten bietet.

303acid
03.08.2020 21:25:58
303acid schrieb:

ich berichte nach Test.


Leider nur ein Teilerfolg- Logischerweise erreichen sich jetzt alle innerhalb des 10er WG-Netzes aber die LAN IP bzw. die Shares der VM erreiche ich trozdem nicht...

303acid
30.07.2020 19:46:16
frostschutz schrieb:

Du könntest der Windows-VM auch noch einen Wireguard-Client spendieren und sie so zur 10.200.200.3 o.ä. machen. Wenn dann beide Clients den Server zum Peer nehmen und der Server ip forwarding erlaubt, können die miteinander reden.

Ha, das wird die Lösung sein...ich berichte nach Test.
Danke schon mal!

frostschutz
30.07.2020 13:16:17

Du könntest der Windows-VM auch noch einen Wireguard-Client spendieren und sie so zur 10.200.200.3 o.ä. machen. Wenn dann beide Clients den Server zum Peer nehmen und der Server ip forwarding erlaubt, können die miteinander reden.

Ansonsten brichst du dir einen ab mit Routen auf den Clients die nicht wissen wie sie miteinander reden sollen. Der WG-Client müsste wissen daß sich hinter der 10.200.200.1 eine 192.168.0.46 befindet und die VM-Windows müsste wissen daß Pakete an 10.200.200.2 über 192.168.0.x WG-Server laufen (nicht über 192.168.0.1 Router wenn das nicht der Server ist).

Da braucht jeder Client seine eigenen Routen, es reicht es nicht aus nur am Server eine Route zu setzen, die zudem falsch aussieht (der Server hat kein 192.168. route auf wg0, der Client hat diese Adresse ja nicht).

Manche Virtualisierungslösungen bieten ansonsten auch noch ihre eigene Portweiterleitung an, also es wäre u.U. möglich die VM direkt auf 10.200.200.1:port lauschen zu lassen. Ob das Samba-Protokoll da mitspielt, ist eine andere Frage. Also wenn das z.B. dynamisch weitere Verbindungen erzeugen würde klappt es mit einer einfachen Portweiterleitung nicht. Kenne mich mit dem Protokoll nicht aus.

303acid
30.07.2020 09:51:30

na server01 ist der wg-server mit vm

WG-Client <--> NAT <-->Internet  <--> NAT <-->  WG-Server
10.200.200.2                                                           10.200.200.1 WG-Network
                                                                                192.168.0.0/24 LAN-Network
                                                                                192.168.0.1 Internetrouter
                                                                                192.168.0.254 DNS, Samba
                                                                                192.168.0.46 VM-Windows mit Freigaben


Falls jemand auf die Idee kommt die VM-Freigaben über SAMBA zu mappen - das würde tatsächlich gehen - will ich aber nicht

schard
30.07.2020 06:11:32

Und welche der eingangs genannten Maschinen ist nun server01? Neben den Routingtabellen aller Beteiligten, ist womöglich noch ein Ascii Diagramm der Topologie hilfreich.

303acid
30.07.2020 00:01:18

klar. ich versuch's mal:

root@server01:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.0.1        0.0.0.0         UG    0      0        0 eth0
10.200.200.0    0.0.0.0         255.255.255.0   U     0      0        0 wg0
192.168.0.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.0.254 0.0.0.0         255.255.255.255 UH    0      0        0 wg0

wenn ich die VM in Allowed IP's hinzufüge, dann wird noch

192.168.0.46  0.0.0.0         255.255.255.255 UH    0      0        0 wg0

angelegt, aber dann erreiche ich die VM lokal auch nicht mehr:

root@server01:~# ping vm-server
PING vm-server.lan (192.168.0.46) 56(84) bytes of data.
From server01 (10.200.200.1) icmp_seq=1 Destination Host Unreachable
ping: sendmsg: Es ist eine Zieladresse notwendig

iptabels ist leer. Nur ip_forward wurde gesetzt.
Die aktuelle Routingtabelle des VM-hosts müsst ich evtl nachreichen. Da komm ich jetzt ad hoc nicht ran.

schard
29.07.2020 17:42:53

Wenn du mal die tatsächlichen Routingtabellen und Firewall Konfigurationen der betreffenden Systeme zeigen würdest, könnte man dir womöglich sogar weiter helfen.

303acid
28.07.2020 23:59:56

Hallo,

irgendwie steh ich auf dem Schlauch....

Ich habe einen Server auf dem BIND, Samba, VirtualBox und Wireguard laufen und einen 'RoadWarrior' im HomeOffice ;-)
VPN lässt sich auf Server aufbauen, DNS. Internet, Samba-shares funktionieren.
Die Windows-VM  erreiche ich aber nicht über den Tunnel - Ping etc. laufen ins leere.

Die WG-Interfaces laufen im 10er Netz.
Die Windows-VM ist via Netzbrücke am 192.168er Netz.
In der smb.conf habe ich Hosts Allow = 192.168.0.0/24 10.200.200.0/24 gesetzt, damit Samba das 10er Netz akzeptiert - ähnliches in der named.conf.
Wie bringe ich das aber der Windows-VM bei? Eine zusätzlich statische Route und das deaktivieren der Windows-Firewall haben nicht geholfen.

Bei einem Ping z.B. sagt tcpdump am LAN-Interface:
das 10,200,200,2 icmp echo request auf 192.168.0.46(VM) aufruft
es kommt aber keine echo replay zurück

Wenn ich in der WG-Server config die VM bei Allowd IP's mit eintrage hilft das auch nicht UND ich erreiche die VM lokal dann auch nicht mehr

Fußzeile des Forums

Powered by FluxBB