Du bist nicht angemeldet.

#1 12.03.2021 15:34:00

fanifeey
Mitglied

Antergos/Arch und wireguard

Hallo Leute,

ich habe mir auf openwrt als Server und auf dem PC mit Arch wireguard eingerichtet.
Ich kann prinzipiell, wenn der Tunnel steht, z.B. vom PC über den Wireguardtunnel auf den Router zugreifen.
Dabei kann ich mir folgende Beobachtung nicht erklären bzw ich verstehe sie einfach nicht.
Deshalb bitte ich Euch um Hilfe.

auf dem PC in /etc/wireguard die wg0-cli2.conf:
# Einstellung für Cli 2
[Interface]
Address = 10.0.10.21/32
PrivateKey = XYZ

[Peer]
# publickey des Server
PublicKey = ZYX
# IP des Server
Endpoint = 10.0.10.10:51902
AllowedIPs = 10.0.10.0/24
PersistentKeepalive = 21

Wenn ich die Schnittstelle "wg0-cli2" nicht mit: wg-quick up wg0-cli2    starte, kann ich 10.0.10.10 anpingen, 10.0.10.21 antwortet aber nicht. Ich kann dann aber auch nicht openwrt über diesen Tunnel aufrufen.

Starte ich wg0-cli2 aber mit: wg-quick up wg0-cli2, wird mir die Schnittstelle in Netzwerke angezeigt, aber nach jedem Start fehlt in den Einstellungen unter: Netzwerke/Verbinsungen/Wireguard-VPN der private Schlüssel und die Eintragungen unter: Schnittstelle/Gegenstelle fehlen auch. Dazu kommt das auch jedesmal unter: "zu überwachender Port" ein anderer Port steht als in der .conf eingetragen???
Ich dachte die .conf wird beim Aktivieren der Schnittstelle eingelesen.?
Korrigiere ich das alles händisch, kann ich die 10.0.10.21 und die 10.0.10.10 anpingen und die Schnittstelle wird mit ifconfig auch angezeigt und ich kann über den Tunnel openwrt aufrufen.
Solche verwustelten Probleme hatte ich mit openVPN-Tunneln noch nie....
Ich würde mich freuen, wenn sich jemand der Ahnung davon hat, die Zeit nimmt und mir hilft.
Danke im Voraus.
Gruß

Beitrag geändert von fanifeey (12.03.2021 15:37:26)

Offline

#2 12.03.2021 16:04:33

frostschutz
Mitglied

Re: Antergos/Arch und wireguard

Gleiches Subnetz innerhalb und außerhalb von Wireguard?

Offline

#3 12.03.2021 20:06:32

fanifeey
Mitglied

Re: Antergos/Arch und wireguard

192.168.0.0/24 ist das Homenetz und wireguard 10.0.10.0/24.
Deshalb wundere ich mich auch, dass ich mit einem anderen Rechner im Homenetz 192.168.0.0 (ohne jegliche wireguard-Installation) die 10.0.10.10 überhaupt aufrufen kann.
Nach meinem bisherigen Verständnis ist das unmöglich, weil völlig andere Netze...???

Offline

#4 12.03.2021 21:27:10

frostschutz
Mitglied

Re: Antergos/Arch und wireguard

Ist der Endpoint dann nicht auch 192.168.0.X?

Offline

#5 12.03.2021 22:05:42

fanifeey
Mitglied

Re: Antergos/Arch und wireguard

Nein.
Nach den zig Beiträgen und Anleitungen die ich hierzu gelesen habe ist es 10.0.10.10/24 wie auf dem Server eingestellt.
Und wenn ich die fehlenden Einträge unter : Netzwerke/Verbindungen/Wireguard-VPN und Schnittstelle/Gegenstelle von Hand ergänze funktioniert es ja auch.  ???
Ich komme hier mit dem Einfügen von Bildern nicht klar sonst würde ich einen Screenshot hochladen.

Offline

#6 13.03.2021 12:55:05

Icecube63
Mitglied

Re: Antergos/Arch und wireguard

Kann sein dass das bei openwrt anders ist, aber bei mir habe ich auf dem Raspi

Endpoint = <dyndns>:51820
AllowedIPs = 0.0.0.0/0, 192.168.178.0/24 

wird mir die Schnittstelle in Netzwerke angezeigt, aber nach jedem Start fehlt in den Einstellungen unter: Netzwerke/Verbinsungen/Wireguard-VPN der private Schlüssel und die Eintragungen unter: Schnittstelle/Gegenstelle fehlen auch.

Du solltest deine Konfiguration noch erklären. Was nutzt du für die Netzwerkverbindung auf dem PC? (ist das ein stationärer PC oder ein Laptop?) Worauf läuft openwrt? Und nutzt du tatsächlich Antergos, das ist nämlich kein Arch. wink

Beitrag geändert von Icecube63 (13.03.2021 12:55:39)

Offline

#7 13.03.2021 13:05:55

frostschutz
Mitglied

Re: Antergos/Arch und wireguard

Der Endpoint ist eigentlich immer ein anderes Netzwerk als das im AllowedIPs ( vom 0/0 Fall jetzt mal abgesehen ) und 10.x als Endpoint funktioniert womöglich nur weil das ohne andere Route zum Gateway geht und der Gateway (als OpenWRT-Router und Wireguard-Server in einem) sich dann zuständig dafür fühlt. Wenn der OpenWRT eigentlich lokal ne 192.168.x IP hat dann wäre das eigentlich auch der Endpoint. Aber vielleicht versteh ich deine Konfiguration auch ganz falsch. Der Endpoint muss jedenfalls unabhängig vom Wireguard erreichbar sein, zum Endpoint werden ja die verschlüsselten Pakete geschickt die den Wireguard-Tunnel erst möglich machen, das kannst du nicht selber innerhalb von der gleichen Wireguard-Verbindung schicken.

Wenn die Verbindung mal steht kannst du in 'wg show' schauen ob sich der Endpoint nicht verändert hat. Wenn du den Handshake an 10.x schickst aber die Antwort dann von 192.x kommt dann ist 192.x der Endpoint, egal was in deiner Konfiguration steht (Wireguard erlaubt das ändern des Endpoints um mit dynamischen IPs klarzukommen - die Pakete müssen lediglich richtig verschlüsselt gewesen sein).

Offline

#8 22.03.2021 19:07:04

fanifeey
Mitglied

Re: Antergos/Arch und wireguard

Hallo Leute,
ich habe das Problem gleöst!
Zu meiner Frage: "Starte ich wg0-cli2 aber mit: wg-quick up wg0-cli2, wird mir die Schnittstelle in Netzwerke angezeigt, aber nach jedem Start fehlt in den Einstellungen unter:
Netzwerke/Verbindungen/Wireguard-VPN der private Schlüssel und die Eintragungen unter: Schnittstelle/Gegenstelle fehlen auch. Dazu kommt das auch jedesmal unter: "zu überwachender Port" ein anderer Port steht als in der .conf eingetragen???
Ich dachte die .conf wird beim Aktivieren der Schnittstelle eingelesen.?"
Ist zu sagen, dass das was da in "Netzwerke/Verbindungen/Wireguard-VPN" steht keine Rolle spielt und unbeachtet bleiben kann!

Ich habe einfach alles noch einmal gelöscht und ganz von vorn angefangen.
Mit:
"cd /etc/wireguard
umask 077
printf "[Interface]\nPrivateKey = " > wg0.conf
wg genkey | tee -a wg0.conf | wg pubkey > publickey
mcedit /etc/wireguard/wg0.conf"
habe ich die Keys und die wg0.conf erzeugt, den Server und die Clients eingerichtet, den Dienst gestartet und die Schnittstellte wg0 erzeugt und es hat im LAN sofort funktioniert.
Der einzige Unterschied zu meiner Konfiguration oben im Client wird, wie man mich schon darauf hingewiesen hatte, nicht die  "Endpoint = 10.0.10.10:51902" eingetragen, sondern die LAN-IP des Servers 192.168.0.1:51902. Merkwürdig nur, dass ich das, nach Eurem Hinweis, bei der ersten Konfiguration mal probeweise so in die Conf des Client eingetragen hatte und es nicht funktioniert hat.
Danke für Eure Mühe und Unterstützung.

Kann mir jetzt noch jemand helfen was den DNS für den Client anbelangt?
Wenn ich den Client z.B. auf einem LAPTOP mit ständig wechselndem LAN habe und der Laptop selber nicht über DoT ins Netz geht, was trage ich dann bei "DNS = W.X.Y.Z" ein?
Letzte Frage: Muss ich das IP-Forwarding "net.ipv4.ip_forward=1" nur einschalten wenn ich den wireguard-Server auf z.B. einem PC, nicht auf einem Router installiert habe? 
Danke und Gruß
fanifeey

Offline

Schnellantwort auf dieses Thema

Schreibe deinen Beitrag und versende ihn
Deine Antwort

Fußzeile des Forums