Du bist nicht angemeldet.

#1 28.07.2020 23:59:56

303acid
Mitglied

via Wireguard auf VM von WG-Server

Hallo,

irgendwie steh ich auf dem Schlauch....

Ich habe einen Server auf dem BIND, Samba, VirtualBox und Wireguard laufen und einen 'RoadWarrior' im HomeOffice ;-)
VPN lässt sich auf Server aufbauen, DNS. Internet, Samba-shares funktionieren.
Die Windows-VM  erreiche ich aber nicht über den Tunnel - Ping etc. laufen ins leere.

Die WG-Interfaces laufen im 10er Netz.
Die Windows-VM ist via Netzbrücke am 192.168er Netz.
In der smb.conf habe ich Hosts Allow = 192.168.0.0/24 10.200.200.0/24 gesetzt, damit Samba das 10er Netz akzeptiert - ähnliches in der named.conf.
Wie bringe ich das aber der Windows-VM bei? Eine zusätzlich statische Route und das deaktivieren der Windows-Firewall haben nicht geholfen.

Bei einem Ping z.B. sagt tcpdump am LAN-Interface:
das 10,200,200,2 icmp echo request auf 192.168.0.46(VM) aufruft
es kommt aber keine echo replay zurück

Wenn ich in der WG-Server config die VM bei Allowd IP's mit eintrage hilft das auch nicht UND ich erreiche die VM lokal dann auch nicht mehr

Offline

#2 29.07.2020 17:42:53

schard
Moderator

Re: via Wireguard auf VM von WG-Server

Wenn du mal die tatsächlichen Routingtabellen und Firewall Konfigurationen der betreffenden Systeme zeigen würdest, könnte man dir womöglich sogar weiter helfen.

Offline

#3 30.07.2020 00:01:18

303acid
Mitglied

Re: via Wireguard auf VM von WG-Server

klar. ich versuch's mal:

root@server01:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.0.1        0.0.0.0         UG    0      0        0 eth0
10.200.200.0    0.0.0.0         255.255.255.0   U     0      0        0 wg0
192.168.0.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.0.254 0.0.0.0         255.255.255.255 UH    0      0        0 wg0

wenn ich die VM in Allowed IP's hinzufüge, dann wird noch

192.168.0.46  0.0.0.0         255.255.255.255 UH    0      0        0 wg0

angelegt, aber dann erreiche ich die VM lokal auch nicht mehr:

root@server01:~# ping vm-server
PING vm-server.lan (192.168.0.46) 56(84) bytes of data.
From server01 (10.200.200.1) icmp_seq=1 Destination Host Unreachable
ping: sendmsg: Es ist eine Zieladresse notwendig

iptabels ist leer. Nur ip_forward wurde gesetzt.
Die aktuelle Routingtabelle des VM-hosts müsst ich evtl nachreichen. Da komm ich jetzt ad hoc nicht ran.

Beitrag geändert von 303acid (30.07.2020 00:03:04)

Offline

#4 30.07.2020 06:11:32

schard
Moderator

Re: via Wireguard auf VM von WG-Server

Und welche der eingangs genannten Maschinen ist nun server01? Neben den Routingtabellen aller Beteiligten, ist womöglich noch ein Ascii Diagramm der Topologie hilfreich.

Offline

#5 30.07.2020 09:51:30

303acid
Mitglied

Re: via Wireguard auf VM von WG-Server

na server01 ist der wg-server mit vm

WG-Client <--> NAT <-->Internet  <--> NAT <-->  WG-Server
10.200.200.2                                                           10.200.200.1 WG-Network
                                                                                192.168.0.0/24 LAN-Network
                                                                                192.168.0.1 Internetrouter
                                                                                192.168.0.254 DNS, Samba
                                                                                192.168.0.46 VM-Windows mit Freigaben


Falls jemand auf die Idee kommt die VM-Freigaben über SAMBA zu mappen - das würde tatsächlich gehen - will ich aber nicht

Beitrag geändert von 303acid (30.07.2020 09:58:18)

Offline

#6 30.07.2020 13:16:17

frostschutz
Mitglied

Re: via Wireguard auf VM von WG-Server

Du könntest der Windows-VM auch noch einen Wireguard-Client spendieren und sie so zur 10.200.200.3 o.ä. machen. Wenn dann beide Clients den Server zum Peer nehmen und der Server ip forwarding erlaubt, können die miteinander reden.

Ansonsten brichst du dir einen ab mit Routen auf den Clients die nicht wissen wie sie miteinander reden sollen. Der WG-Client müsste wissen daß sich hinter der 10.200.200.1 eine 192.168.0.46 befindet und die VM-Windows müsste wissen daß Pakete an 10.200.200.2 über 192.168.0.x WG-Server laufen (nicht über 192.168.0.1 Router wenn das nicht der Server ist).

Da braucht jeder Client seine eigenen Routen, es reicht es nicht aus nur am Server eine Route zu setzen, die zudem falsch aussieht (der Server hat kein 192.168. route auf wg0, der Client hat diese Adresse ja nicht).

Manche Virtualisierungslösungen bieten ansonsten auch noch ihre eigene Portweiterleitung an, also es wäre u.U. möglich die VM direkt auf 10.200.200.1:port lauschen zu lassen. Ob das Samba-Protokoll da mitspielt, ist eine andere Frage. Also wenn das z.B. dynamisch weitere Verbindungen erzeugen würde klappt es mit einer einfachen Portweiterleitung nicht. Kenne mich mit dem Protokoll nicht aus.

Offline

#7 30.07.2020 19:46:16

303acid
Mitglied

Re: via Wireguard auf VM von WG-Server

frostschutz schrieb:

Du könntest der Windows-VM auch noch einen Wireguard-Client spendieren und sie so zur 10.200.200.3 o.ä. machen. Wenn dann beide Clients den Server zum Peer nehmen und der Server ip forwarding erlaubt, können die miteinander reden.

Ha, das wird die Lösung sein...ich berichte nach Test.
Danke schon mal!

Offline

#8 Gestern 21:25:58

303acid
Mitglied

Re: via Wireguard auf VM von WG-Server

303acid schrieb:

ich berichte nach Test.


Leider nur ein Teilerfolg- Logischerweise erreichen sich jetzt alle innerhalb des 10er WG-Netzes aber die LAN IP bzw. die Shares der VM erreiche ich trozdem nicht...

Offline

#9 Gestern 23:38:11

frostschutz
Mitglied

Re: via Wireguard auf VM von WG-Server

Logischerweise erreichen sich jetzt alle innerhalb des 10er WG-Netzes

Das ist eigentlich die halbe Miete.

aber die LAN IP bzw. die Shares der VM erreiche ich trozdem nicht

Die LAN IP klar nicht. Das bleibt bei der WG IP. Es sei denn du setzt eben doch Routen auf beiden Seiten dafür.

Die Shares müssen dann für die WG IP aktiviert werden. Und die Firewall so eingestellt daß diese es nicht blockt. Ob und wie das bei Windows geht, habe ich nicht ausprobiert. Wenn es aus irgendeinem Grund bei Windows nicht möglich sein sollte, das Wireguard-Interface für derartige Freigaben zu verwenden, dann habe ich dich mit der Idee wohl in die Wüste geschickt. Aber komisch wärs schon, zumindest unter Linux bietet Wireguard ja ein vollwertiges Netzwerkinterface das so ziemlich fast alle Möglichkeiten bietet.

Offline

Schnellantwort auf dieses Thema

Schreibe deinen Beitrag und versende ihn
Deine Antwort

Fußzeile des Forums